Puluhan ribu organisasi berbasis di AS yang menjalankan server Microsoft Exchange telah diretas oleh peretas yang mencuri kata sandi administrator dan mengeksploitasi kerentanan dalam aplikasi email dan kalender, menurut sebuah laporan.
Microsoft mengeluarkan tambalan darurat pada Selasa pekan lalu, tetapi tambalan itu tidak dapat mengambil tindakan terhadap sistem yang diretas, dikutip dari situs Ars Technica, Senin 8 Maret 2021.
KrebsOnSecurity adalah yang pertama melaporkan peretasan massal. Menurut sumber yang tidak mau disebutkan namanya, jumlah organisasi AS yang diretas sekitar 30.000, sedangkan di seluruh dunia mencapai 100.000.
Microsoft pada hari Selasa mengatakan bahwa server Exchange lokal sedang diretas oleh kelompok peretas yang berbasis di Cina, yang disebut Hafnium. Menyusul postingan dari Krebs, perusahaan mengatakan melihat peningkatan sistem penargetan serangan yang tidak ditambal oleh beberapa aktor jahat selain dari Hafnium.
Direktur Intelijen Red Canary, Katie Nickels, mengatakan bahwa mereka telah menemukan bahwa server Exchange telah disusupi oleh peretas menggunakan taktik, teknik, dan prosedur yang sangat berbeda dari Hafniumm.
Ada lima kelompok peretas yang terlihat berbeda satu sama lain. Mempertanyakan apakah orang-orang di balik peretasan massal ini berbeda atau tidak benar-benar menjadi masalah yang menantang.
Di Twitter, Red Canary mengatakan beberapa server Exchange yang mereka lacak berisi malware, yang dianalisis oleh firma keamanan Carbon Black pada 2019. Malware itu adalah bagian dari serangan yang menginstal perangkat lunak cryptomining yang disebut DLTminer. Sepertinya bukan pelakunya Hafnium.
Microsoft mengatakan Hafnium adalah sekelompok peretas terampil dari China yang berfokus pada pencurian data dari penelitian penyakit menular yang berbasis di AS, firma hukum, lembaga pendidikan tinggi, kontraktor pertahanan, lembaga pemikir kebijakan, dan organisasi non-pemerintah.
Grup tersebut, menurut perusahaan yang didirikan oleh Bill Gates, meretas server dengan mengeksploitasi kerentanan nol hari yang baru-baru ini diperbaiki atau menggunakan kredensial administrator yang disusupi.
Tidak jelas berapa persentase server yang terinfeksi, yang merupakan hasil kerja Hafnium. Microsoft memperingatkan bahwa kemudahan mengeksploitasi kerentanan dalam sistem berarti bahwa sekelompok peretas lain akan bergabung dengan Hafnium.
0 comments:
Post a Comment